组别——O19
1. 项目说明
O19提示用户样式表（stylesheet）“劫持”，样式表是一个扩展名为.CSS的文件，它是关于网页格式、颜色、字体、外观等的一个模板。相关注册表项目
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: User Stylesheets
此外，此项中也可能出现.ini、.bmp文件等。
2. 举例
O19 - User stylesheet: c:\WINDOWS\Java\my.css
O19 - User stylesheet: C:\WINDOWS\Web\tips.ini
O19 - User stylesheet: C:\WINDOWS\win32.bmp
3. 一般建议
已知，datanotary.com会修改样式表。该样式表名为my.css或者system.css，具体信息可参考
[url]http://www.pestpatrol.com/pestinfo/d/datanotary.asp[/url]
[url]http://www.spywareinfo.com/articles/datanotary/[/url]
该“浏览器劫持”也属于CoolWebSearch家族，别忘了上面多次提到的专杀。
当浏览器浏览速度变慢、经常出现来历不明的弹出窗口，而HijackThis又报告此项时，建议使用HijackThis修复。如果您根本没使用过样式表而HijackThis又报告此项，建议使用HijackThis修复。
组别——O20
1. 项目说明
O20项提示注册表键值AppInit_DLLs处的自启动项(前一阵子闹得挺厉害的“about:blank”劫持就是利用这一项)。
相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows
键值为AppInit_DLLs
此处用来在用户登录时加载.dll文件。用户注销时，这个.dll也被注销。
2. 举例
O20 - AppInit_DLLs: msconfd.dll
3. 一般建议
仅有极少的合法软件使用此项，已知诺顿的CleanSweep用到这一项，它的相关文件为APITRAP.DLL。其它大多数时候，当HijackThis报告此项时，您就需要提防技术软件或者其它恶意程序。
4. 疑难解析
有时，HijackThis不报告这一项，但如果您在注册表编辑器中使用“修改二进位数据”功能，则可能看到该“隐形”dll文件。这是因为该“隐形”dll文件在文件名的开头添加了一个`|`来使自己难被发觉。
组别——O21
1. 项目说明
O21项提示注册表键ShellServiceObjectDelayLoad处的自启动项。这是一个未正式公布的自启动方式，通常只有少数Windows系统组件用到它。Windows启动时，该处注册的组件会由Explorer加载。
相关注册表键为HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
2. 举例
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll
3. 一般建议
HijackThis会自动识别在该处启动的常见Windows系统组件，不会报告它们。所以如果HijackThis报告这一项，则有可能存在恶意程序，需要仔细分析。
组别——O22
1. 项目说明
O22项提示注册表键SharedTaskScheduler处的自启动项。这是WindowsNT/2000/XP中一个未正式公布的自启动方式，极少用到。
2. 举例
O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll
3. 一般建议
已知，CoolWebSearch变种Smartfinder用到这一项，请小心处理。建议使用CoolWebSearch专杀——CoolWeb Shredder（CoolWeb粉碎机），简介见[url]http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3926810&page=1[/url]
组别——O23
1. 项目说明
O23项提示注册为系统服务的程序(可以通过运行->Services.msc,察看所有的系统服务)
2. 举例
O23 - Service: AhnLab Task Scheduler - AhnLab, Inc. - C:\Program Files\AhnLab\Smart Update Utility\Ahnsdsv.exe
O23 - Service: NOD32 Kernel Service - Unknown - C:\Program Files\Eset\nod32krn.exe
3. 一般建议
很多正常软件都会注册到系统服务,常见的比如各种杀毒软件和防火墙的服务以及Apache，MySQL等软件,一般来说这些正常的服务的描述都很容易识别他们的身份(如"NOD32 Kernel Service"很明显是NOD32的服务),如果出现了名称和系统服务很像的服务,但是面说后面的厂商却不是MS的项目就很可能是技术了.
4. 疑难解析
只有1.99以上版本的Hijackthis才有O23,以前的版本不具备这一功能.Hijack并不列出所有的系统服务,系统默认的服务已经被Hijackthis忽略.> >更多精彩技术文章>http://www.66of.com